mirror of
https://github.com/ditatompel/insights.git
synced 2025-01-08 03:12:06 +07:00
chore(lint): Markdown lint
This commit is contained in:
parent
61eb82c207
commit
8d08ace495
4 changed files with 176 additions and 153 deletions
|
@ -1,43 +1,33 @@
|
||||||
---
|
---
|
||||||
title: "Devilzc0de Streaming Radio Amarok Script"
|
title: "Devilzc0de Streaming Radio Amarok Script"
|
||||||
description: Berhubung saya adalah tipe orang yang sulit bekerja jika ada banyak browser tab terbuka di browser, saya buat script sederhana supaya radio devilzc0de bisa didengarkan melalui Amarok.
|
description: Berhubung saya adalah tipe orang yang sulit bekerja jika ada banyak browser tab terbuka di browser, saya buat script sederhana supaya radio devilzc0de bisa didengarkan melalui Amarok.
|
||||||
|
summary: Berhubung saya adalah tipe orang yang sulit bekerja jika ada banyak browser tab terbuka di browser, saya buat script sederhana supaya radio devilzc0de bisa didengarkan melalui Amarok.
|
||||||
date: 2011-12-29T03:14:32+07:00
|
date: 2011-12-29T03:14:32+07:00
|
||||||
lastmod:
|
lastmod:
|
||||||
draft: false
|
draft: false
|
||||||
noindex: false
|
noindex: false
|
||||||
featured: false
|
featured: false
|
||||||
pinned: false
|
pinned: false
|
||||||
# comments: false
|
|
||||||
series:
|
series:
|
||||||
# -
|
# -
|
||||||
categories:
|
categories:
|
||||||
# -
|
# -
|
||||||
tags:
|
tags:
|
||||||
- Amarok
|
- Amarok
|
||||||
- Linux
|
- Linux
|
||||||
images:
|
images:
|
||||||
# -
|
|
||||||
# menu:
|
|
||||||
# main:
|
|
||||||
# weight: 100
|
|
||||||
# params:
|
|
||||||
# icon:
|
|
||||||
# vendor: bs
|
|
||||||
# name: book
|
|
||||||
# color: '#e24d0e'
|
|
||||||
authors:
|
authors:
|
||||||
- ditatompel
|
- ditatompel
|
||||||
---
|
---
|
||||||
|
|
||||||
Berhubung saya adalah tipe orang yang sulit bekerja jika ada banyak browser tab terbuka di browser, saya buat script sederhana supaya radio **devilzc0de** bisa didengarkan melalui **Amarok**.
|
Berhubung saya adalah tipe orang yang sulit bekerja jika ada banyak browser tab terbuka di browser, saya buat script sederhana supaya radio **devilzc0de** bisa didengarkan melalui **Amarok**.
|
||||||
|
|
||||||
<!--more-->
|
_tested on_ :
|
||||||
|
|
||||||
*tested on* :
|
- OS: **Arch Linux** Kernel `3.x` `x86_64`
|
||||||
* OS: **Arch Linux** Kernel `3.x` `x86_64`
|
- DE: **KDE** SC `4.7.4`
|
||||||
* DE: **KDE** SC `4.7.4`
|
- Qt: `4.8.0`
|
||||||
* Qt: `4.8.0`
|
- Source Code : `http://ls-la.ditatompel.crayoncreative.net/linux/devilzc0de_stream.tar.bz2`
|
||||||
* Source Code : `http://ls-la.ditatompel.crayoncreative.net/linux/devilzc0de_stream.tar.bz2`
|
|
||||||
|
|
||||||
![](dc-amarok2.png#center)
|
![](dc-amarok2.png#center)
|
||||||
|
|
||||||
|
@ -46,59 +36,65 @@ Berhubung saya adalah tipe orang yang sulit bekerja jika ada banyak browser tab
|
||||||
![](dc-amarok4.png#center)
|
![](dc-amarok4.png#center)
|
||||||
|
|
||||||
## List Radio Station
|
## List Radio Station
|
||||||
* ainstream
|
|
||||||
* Devilzc0de Radio
|
- ainstream
|
||||||
* Radio Bandung
|
- Devilzc0de Radio
|
||||||
* Prambors FM
|
- Radio Bandung
|
||||||
* Delta FM
|
- Prambors FM
|
||||||
* Radio Surabaya
|
- Delta FM
|
||||||
* Mercury 96FM
|
- Radio Surabaya
|
||||||
* Prambors FM
|
- Mercury 96FM
|
||||||
* Delta FM
|
- Prambors FM
|
||||||
* Radio Yogyakarta
|
- Delta FM
|
||||||
* Redjo Buntung
|
- Radio Yogyakarta
|
||||||
* Jogjafamily
|
- Redjo Buntung
|
||||||
* Swaragama
|
- Jogjafamily
|
||||||
* Female FM
|
- Swaragama
|
||||||
* Prambors FM
|
- Female FM
|
||||||
* Radio Semarang
|
- Prambors FM
|
||||||
* Gajahmada FM
|
- Radio Semarang
|
||||||
* TOP FM Bumiayu
|
- Gajahmada FM
|
||||||
* Female FM
|
- TOP FM Bumiayu
|
||||||
* Prambos FM
|
- Female FM
|
||||||
* Radio Jakarta
|
- Prambos FM
|
||||||
* Delta FM
|
- Radio Jakarta
|
||||||
* Female FM
|
- Delta FM
|
||||||
* Prambors FM
|
- Female FM
|
||||||
* Radio Lainnya
|
- Prambors FM
|
||||||
* Kaskus Radio
|
- Radio Lainnya
|
||||||
* Static Stream Crayon Networks
|
- Kaskus Radio
|
||||||
* Lagu Galauers
|
- Static Stream Crayon Networks
|
||||||
* Instrumental
|
- Lagu Galauers
|
||||||
* Latest Song Mix
|
- Instrumental
|
||||||
|
- Latest Song Mix
|
||||||
|
|
||||||
## Cara Install
|
## Cara Install
|
||||||
Cara installasi bisa menggunakan 2 metode, yaitu menggunakan **Amarok script manager** (*single user*) atau manual (*all users*).
|
|
||||||
|
|
||||||
### Menggunakan Amarok script manager (*single user*)
|
Cara installasi bisa menggunakan 2 metode, yaitu menggunakan **Amarok script manager** (_single user_) atau manual (_all users_).
|
||||||
|
|
||||||
|
### Menggunakan Amarok script manager (_single user_)
|
||||||
|
|
||||||
1. Buka Amarok
|
1. Buka Amarok
|
||||||
2. Masuk **Settings** -> **Configure Amarok** -> **Script** -> **Manage Scripts**
|
2. Masuk **Settings** -> **Configure Amarok** -> **Script** -> **Manage Scripts**
|
||||||
3. Search dengan *keyword* **Devilzc0de** -> **Install**
|
3. Search dengan _keyword_ **Devilzc0de** -> **Install**
|
||||||
|
|
||||||
![](dc-amarok1.png#center)
|
![](dc-amarok1.png#center)
|
||||||
|
|
||||||
### Manual (*all users*)
|
### Manual (_all users_)
|
||||||
|
|
||||||
```bash
|
```bash
|
||||||
wget http://ls-la.ditatompel.crayoncreative.net/linux/devilzc0de_stream.tar.bz2
|
wget http://ls-la.ditatompel.crayoncreative.net/linux/devilzc0de_stream.tar.bz2
|
||||||
```
|
```
|
||||||
Sebagai *user* `root`, *extract* kemudian *copy* folder hasil *extract* ke `/usr/share/apps/amarok/scripts/`.
|
|
||||||
|
Sebagai _user_ `root`, _extract_ kemudian _copy_ folder hasil _extract_ ke `/usr/share/apps/amarok/scripts/`.
|
||||||
|
|
||||||
## Cara Penggunaan
|
## Cara Penggunaan
|
||||||
|
|
||||||
1. Masuk ke menu **internet**.
|
1. Masuk ke menu **internet**.
|
||||||
2. Pilih **devilzc0de Radio**.
|
2. Pilih **devilzc0de Radio**.
|
||||||
3. Pilih stasiun radio yang ingin didengarkan.
|
3. Pilih stasiun radio yang ingin didengarkan.
|
||||||
|
|
||||||
Maaf belum sempat buat untuk *player* dan *desktop environment* laen.
|
Maaf belum sempat buat untuk _player_ dan _desktop environment_ laen.
|
||||||
|
|
||||||
|
Pertanyaan & bugs report ke `https://devilzc0de.org/forum/thread-11791.html`.
|
||||||
|
|
||||||
Pertanyaan & bugs report ke `https://devilzc0de.org/forum/thread-11791.html`.
|
|
|
@ -1,6 +1,7 @@
|
||||||
---
|
---
|
||||||
title: "Firewall iptables Port Knocking"
|
title: "Firewall iptables Port Knocking"
|
||||||
description: "Berbagi tips untuk meningkatkan keamanan server dengan menggunakan teknik port knocking iptables firewall."
|
description: "Berbagi tips untuk meningkatkan keamanan server dengan menggunakan teknik port knocking iptables firewall."
|
||||||
|
summary: "Berbagi tips untuk meningkatkan keamanan server dengan menggunakan teknik port knocking iptables firewall."
|
||||||
# linkTitle:
|
# linkTitle:
|
||||||
date: 2013-07-01T22:16:19+07:00
|
date: 2013-07-01T22:16:19+07:00
|
||||||
lastmod:
|
lastmod:
|
||||||
|
@ -34,21 +35,21 @@ authors:
|
||||||
- ditatompel
|
- ditatompel
|
||||||
---
|
---
|
||||||
|
|
||||||
Kali ini saya ingin berbagi tips untuk meningkatkan keamanan server dengan menggunakan teknik **port knocking**. **Port knocking** adalah sebuah cara untuk membuka *port* tertentu dengan cara mengirimkan paket ke sedetetan port-port tertentu yang telah ditentukan sebelumnya.
|
Kali ini saya ingin berbagi tips untuk meningkatkan keamanan server dengan menggunakan teknik **port knocking**. **Port knocking** adalah sebuah cara untuk membuka _port_ tertentu dengan cara mengirimkan paket ke sedetetan port-port tertentu yang telah ditentukan sebelumnya.
|
||||||
|
|
||||||
<!--more-->
|
<!--more-->
|
||||||
|
|
||||||
> _**Q** : Tujuannya untuk apa?_
|
> _**Q** : Tujuannya untuk apa?_
|
||||||
|
|
||||||
**A** : Tujuannya untuk menghindari serangan dari *pentester* yang melakukan *scanning port* untuk mendapatkan *service-service* yang mungkin bisa diexploitasi oleh mereka. Karena jika *pentester* yang melakukan *scanning* tersebut tidak mengetuk *port* yang telah ditentukan sebelumnya secara berurutan, maka *port* yang ingin kita lindungi tersebut tidak akan terbuka.
|
**A** : Tujuannya untuk menghindari serangan dari _pentester_ yang melakukan _scanning port_ untuk mendapatkan _service-service_ yang mungkin bisa diexploitasi oleh mereka. Karena jika _pentester_ yang melakukan _scanning_ tersebut tidak mengetuk _port_ yang telah ditentukan sebelumnya secara berurutan, maka _port_ yang ingin kita lindungi tersebut tidak akan terbuka.
|
||||||
|
|
||||||
> _**Q** : Bisa lebih detail?_
|
> _**Q** : Bisa lebih detail?_
|
||||||
|
|
||||||
**A** : Misalnya kita punya *service* **SSH** yang listen di *port* `22`, sedangkan *pentester* punya *0day remote root exploit* untuk aplikasi **OpenSSH** tersebut misalnya. Maka server akan terancam keamanannya karena port `22` tersebut terbuka. Dengan menggunakan teknik *port knocking*, hanya mereka yang mengetahui port mana yang harus di *"hit"* terlebih dahulu yang dapat membuka dan mengakses port `22` tersebut.
|
**A** : Misalnya kita punya _service_ **SSH** yang listen di _port_ `22`, sedangkan _pentester_ punya _0day remote root exploit_ untuk aplikasi **OpenSSH** tersebut misalnya. Maka server akan terancam keamanannya karena port `22` tersebut terbuka. Dengan menggunakan teknik _port knocking_, hanya mereka yang mengetahui port mana yang harus di _"hit"_ terlebih dahulu yang dapat membuka dan mengakses port `22` tersebut.
|
||||||
|
|
||||||
Supaya lebih jelas, saya ambil contoh dari *thread* saya sebelumnya tentang **celeng Lawang Sewu CTF** (`http://devilzc0de.org/forum/thread-20071.html`). Challange yang ke-2 adalah mengenai *port knocking*.
|
Supaya lebih jelas, saya ambil contoh dari _thread_ saya sebelumnya tentang **celeng Lawang Sewu CTF** (`http://devilzc0de.org/forum/thread-20071.html`). Challange yang ke-2 adalah mengenai _port knocking_.
|
||||||
|
|
||||||
*Port knocking* ini bisa kita konfigurasi dengan `iptables` *firewall* (yang biasanya sudah dimiliki *kernel Linux* pada kebanyakan distro linux).
|
_Port knocking_ ini bisa kita konfigurasi dengan `iptables` _firewall_ (yang biasanya sudah dimiliki _kernel Linux_ pada kebanyakan distro linux).
|
||||||
|
|
||||||
Pada kesempatan kali ini saya share bagaimana **cara konfigurasi port knocking menggunakan `iptables`**.
|
Pada kesempatan kali ini saya share bagaimana **cara konfigurasi port knocking menggunakan `iptables`**.
|
||||||
|
|
||||||
|
@ -57,80 +58,90 @@ Pada kesempatan kali ini saya share bagaimana **cara konfigurasi port knocking m
|
||||||
VIDEO TUTORIAL : [http://youtu.be/0zFQocf7C_0](http://youtu.be/0zFQocf7C_0).
|
VIDEO TUTORIAL : [http://youtu.be/0zFQocf7C_0](http://youtu.be/0zFQocf7C_0).
|
||||||
|
|
||||||
Yang dibutuhkan pada tutorial kali ini :
|
Yang dibutuhkan pada tutorial kali ini :
|
||||||
|
|
||||||
- Server & Client dengan **OS Linux** (pada tutorial kali ini ane menggunakan **CentOS**)
|
- Server & Client dengan **OS Linux** (pada tutorial kali ini ane menggunakan **CentOS**)
|
||||||
- `iptables` (server firewall)
|
- `iptables` (server firewall)
|
||||||
- `nmap` (untuk *scan* dan *knocking port* dari *client*)
|
- `nmap` (untuk _scan_ dan _knocking port_ dari _client_)
|
||||||
- Pengetahuan dasar mengenai *iptables*.
|
- Pengetahuan dasar mengenai _iptables_.
|
||||||
|
|
||||||
**Studi Kasus:**
|
**Studi Kasus:**
|
||||||
|
|
||||||
Saya punya sebuah server (IP : `192.168.0.100`), saya menggunakan SSH untuk melakukan manajemen server tersebut. SSH port untuk *remote* aksesnya adalah default (Port `22`). Saya ingin menutup port `22` dan hanya terbuka pada saat dibutuhkan.
|
Saya punya sebuah server (IP : `192.168.0.100`), saya menggunakan SSH untuk melakukan manajemen server tersebut. SSH port untuk _remote_ aksesnya adalah default (Port `22`). Saya ingin menutup port `22` dan hanya terbuka pada saat dibutuhkan.
|
||||||
|
|
||||||
Disinilah kita gunakan teknik *port knocking*, dimana saya sudah menge-set konfigurasi supaya user harus mengirimkan paket **TCP** ke port (misalnya) `1111` lalu `2222`, lalu `3333`, dan terakhir `4444` baru kembudian port `22` (SSH) tersebut terbuka.
|
Disinilah kita gunakan teknik _port knocking_, dimana saya sudah menge-set konfigurasi supaya user harus mengirimkan paket **TCP** ke port (misalnya) `1111` lalu `2222`, lalu `3333`, dan terakhir `4444` baru kembudian port `22` (SSH) tersebut terbuka.
|
||||||
|
|
||||||
- IP Server : `192.168.0.100`.
|
- IP Server : `192.168.0.100`.
|
||||||
- OS : **CentOS**.
|
- OS : **CentOS**.
|
||||||
- SSH Port : `22`.
|
- SSH Port : `22`.
|
||||||
- Skema **Port Knocking** : Paket `TCP` Port `1111` => `2222` => `3333` => `4444` => Port `22` terbuka.
|
- Skema **Port Knocking** : Paket `TCP` Port `1111` => `2222` => `3333` => `4444` => Port `22` terbuka.
|
||||||
|
|
||||||
Untuk bawaan server **CentOS**, konfigurasi *firewall* sudah membuka port `22` untuk SSH.
|
Untuk bawaan server **CentOS**, konfigurasi _firewall_ sudah membuka port `22` untuk SSH.
|
||||||
|
|
||||||
![Port 22 open](pk-01.png#center)
|
![Port 22 open](pk-01.png#center)
|
||||||
|
|
||||||
Maka kita perlu mengkonfigurasi ulang `iptables` *firewall*nya. Kita dapat menggunakan perintah `iptables-save > iptables.rules` untuk melakukan *dump* / *backup rules firewall*.
|
Maka kita perlu mengkonfigurasi ulang `iptables` *firewall*nya. Kita dapat menggunakan perintah `iptables-save > iptables.rules` untuk melakukan _dump_ / _backup rules firewall_.
|
||||||
|
|
||||||
Coba lihat pada hasil konfigurasi *firewall* yang baru saja kita *dump*, kurang lebih seperti berikut (untuk **CentOS**):
|
Coba lihat pada hasil konfigurasi _firewall_ yang baru saja kita _dump_, kurang lebih seperti berikut (untuk **CentOS**):
|
||||||
|
|
||||||
```plain
|
```plain
|
||||||
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
|
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
|
||||||
-A INPUT -p icmp -j ACCEPT
|
-A INPUT -p icmp -j ACCEPT
|
||||||
-A INPUT -i lo -j ACCEPT
|
-A INPUT -i lo -j ACCEPT
|
||||||
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
|
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
|
||||||
-A INPUT -j REJECT --reject-with icmp-host-prohibited
|
-A INPUT -j REJECT --reject-with icmp-host-prohibited
|
||||||
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
|
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
|
||||||
```
|
```
|
||||||
|
|
||||||
![iptables dump config](pk-02.png#center)
|
![iptables dump config](pk-02.png#center)
|
||||||
|
|
||||||
Perhatikan pada rules berikut :
|
Perhatikan pada rules berikut :
|
||||||
|
|
||||||
```plain
|
```plain
|
||||||
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
|
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
|
||||||
```
|
```
|
||||||
|
|
||||||
terlihat bahwa iptables memperbolehkan akses melalui port 22.
|
terlihat bahwa iptables memperbolehkan akses melalui port 22.
|
||||||
|
|
||||||
Mari kita buat `iptables` *rules* sesuai keinginan kita di studi kasus ini, yaitu kita ingin menutup port `22` tersebut, dan hanya terbuka pada saat port `1111`,`2222`,`3333`,`4444` mendapatkan paket `TCP` secara berurutan.
|
Mari kita buat `iptables` _rules_ sesuai keinginan kita di studi kasus ini, yaitu kita ingin menutup port `22` tersebut, dan hanya terbuka pada saat port `1111`,`2222`,`3333`,`4444` mendapatkan paket `TCP` secara berurutan.
|
||||||
|
|
||||||
Copy `iptables.rules` yang sebelumnya sudah kita dapatkan ke `iptables-new.rules`, kemudian edit.
|
Copy `iptables.rules` yang sebelumnya sudah kita dapatkan ke `iptables-new.rules`, kemudian edit.
|
||||||
|
|
||||||
```bash
|
```bash
|
||||||
cp iptables.rules iptables-new.rules
|
cp iptables.rules iptables-new.rules
|
||||||
vi iptables-new.rules
|
vi iptables-new.rules
|
||||||
```
|
```
|
||||||
|
|
||||||
dan edit seperti pada gambar dibawah :
|
dan edit seperti pada gambar dibawah :
|
||||||
|
|
||||||
![iptables port knocking rules](pk-03.png#center)
|
![iptables port knocking rules](pk-03.png#center)
|
||||||
|
|
||||||
Dengan kata lain, saya membuka port `80`, kemudian menambahkan *firewall rules* baru yang secara dinamis dapat membuka port `22` selama 15 detik jika port `1111`, `2222`, `3333`, `4444` mendapatkan kiriman paket `TCP` secara berurutan dalam jangka waktu 5 detik.
|
Dengan kata lain, saya membuka port `80`, kemudian menambahkan _firewall rules_ baru yang secara dinamis dapat membuka port `22` selama 15 detik jika port `1111`, `2222`, `3333`, `4444` mendapatkan kiriman paket `TCP` secara berurutan dalam jangka waktu 5 detik.
|
||||||
|
|
||||||
Setelah dirasa udah oke, kita restore konfigurasi firewall yang baru dengan menggunakan `iptables-restore`, lalu *restart iptables service*nya.
|
Setelah dirasa udah oke, kita restore konfigurasi firewall yang baru dengan menggunakan `iptables-restore`, lalu *restart iptables service*nya.
|
||||||
|
|
||||||
```bash
|
```bash
|
||||||
iptables-restore < iptables-new.rules
|
iptables-restore < iptables-new.rules
|
||||||
service iptables save
|
service iptables save
|
||||||
service iptables restart
|
service iptables restart
|
||||||
```
|
```
|
||||||
|
|
||||||
kemudian untuk memastikan rules yang baru sudah berjalan gunakan perintah :
|
kemudian untuk memastikan rules yang baru sudah berjalan gunakan perintah :
|
||||||
|
|
||||||
```bash
|
```bash
|
||||||
iptables -L -n
|
iptables -L -n
|
||||||
```
|
```
|
||||||
|
|
||||||
![iptables rules list](pk-04.png#center)
|
![iptables rules list](pk-04.png#center)
|
||||||
|
|
||||||
Nah kalau udah, mari kita coba cek scan port `22` pada server dari komputer kita menggunakan `nmap`, maka akan terlihat port tersebut tertutup oleh *firewall*.
|
Nah kalau udah, mari kita coba cek scan port `22` pada server dari komputer kita menggunakan `nmap`, maka akan terlihat port tersebut tertutup oleh _firewall_.
|
||||||
|
|
||||||
```bash
|
```bash
|
||||||
nmap -Pn 192.168.0.100 -p22
|
nmap -Pn 192.168.0.100 -p22
|
||||||
```
|
```
|
||||||
|
|
||||||
![nmap port 22](pk-05.png#center)
|
![nmap port 22](pk-05.png#center)
|
||||||
|
|
||||||
Setelah itu kita buat **script bash** sederhana untuk melakukan *knocking port*.
|
Setelah itu kita buat **script bash** sederhana untuk melakukan _knocking port_.
|
||||||
|
|
||||||
```bash
|
```bash
|
||||||
#!/bin/bash
|
#!/bin/bash
|
||||||
|
@ -142,29 +153,27 @@ do
|
||||||
done
|
done
|
||||||
```
|
```
|
||||||
|
|
||||||
Simpan dengan nama `knock.sh` lalu `chmod +x` agar *script* tersebut dapat dieksekusi.
|
Simpan dengan nama `knock.sh` lalu `chmod +x` agar _script_ tersebut dapat dieksekusi.
|
||||||
|
|
||||||
cara penggunaan:
|
cara penggunaan:
|
||||||
|
|
||||||
```bash
|
```bash
|
||||||
# ./knock.sh [ip server] [list port]
|
# ./knock.sh [ip server] [list port]
|
||||||
# misalnya:
|
# misalnya:
|
||||||
./knock.sh 192.168.0.100 1111 2222 3333 4444
|
./knock.sh 192.168.0.100 1111 2222 3333 4444
|
||||||
```
|
```
|
||||||
|
|
||||||
Dengan mengetuk port `1111`, `2222`, `3333`, `4444` secara berurutan maka port `22` yang telah kita tentukan dari *rules firewall* akan terbuka. Dengan begitu kita dapat melakukan koneksi SSH ke server.
|
Dengan mengetuk port `1111`, `2222`, `3333`, `4444` secara berurutan maka port `22` yang telah kita tentukan dari _rules firewall_ akan terbuka. Dengan begitu kita dapat melakukan koneksi SSH ke server.
|
||||||
|
|
||||||
![nmap port knocking](pk-06.png#center)
|
![nmap port knocking](pk-06.png#center)
|
||||||
|
|
||||||
Sekian tutorial mengenai port knocking.
|
Sekian tutorial mengenai port knocking.
|
||||||
|
|
||||||
Silahkan dikembangkan sendiri dengan kreatifitas masing2, *protocol* dan paket yang dikirimkan tidak hanya terbatas pada **TCP** saja, kita juga bisa memanfaatkan kombinasi protokol **TCP**, **UDP** atau bahkan **ICMP**.
|
Silahkan dikembangkan sendiri dengan kreatifitas masing2, _protocol_ dan paket yang dikirimkan tidak hanya terbatas pada **TCP** saja, kita juga bisa memanfaatkan kombinasi protokol **TCP**, **UDP** atau bahkan **ICMP**.
|
||||||
|
|
||||||
Referensi:
|
Referensi:
|
||||||
|
|
||||||
- [http://en.wikipedia.org/wiki/Port_knocking](http://en.wikipedia.org/wiki/Port_knocking)
|
- [http://en.wikipedia.org/wiki/Port_knocking](http://en.wikipedia.org/wiki/Port_knocking)
|
||||||
- [http://www.faqs.org/docs/iptables/index.html](http://www.faqs.org/docs/iptables/index.html)
|
- [http://www.faqs.org/docs/iptables/index.html](http://www.faqs.org/docs/iptables/index.html)
|
||||||
- [https://wiki.archlinux.org/index.php/Port_Knocking](https://wiki.archlinux.org/index.php/Port_Knocking)
|
- [https://wiki.archlinux.org/index.php/Port_Knocking](https://wiki.archlinux.org/index.php/Port_Knocking)
|
||||||
- Tambahan dari om @[od3yz]: [http://www.overflow.web.id/source/Metode-Port-Knocking-dengan-Iptables.pdf](http://www.overflow.web.id/source/Metode-Port-Knocking-dengan-Iptables.pdf)
|
- Tambahan dari om @[od3yz]: [http://www.overflow.web.id/source/Metode-Port-Knocking-dengan-Iptables.pdf](http://www.overflow.web.id/source/Metode-Port-Knocking-dengan-Iptables.pdf)
|
||||||
|
|
||||||
|
|
||||||
|
|
||||||
|
|
||||||
|
|
|
@ -1,6 +1,7 @@
|
||||||
---
|
---
|
||||||
title: "Membuat Lab Virtualisasi Pada Jaringan Lokal Dengan VirtualBox (2012)"
|
title: "Membuat Lab Virtualisasi Pada Jaringan Lokal Dengan VirtualBox (2012)"
|
||||||
description: "Beberapa teman bertanya dan tertarik untuk belajar build server. Kebanyakan dari mereka berfikir bahwa untuk belajar build server / maintenance server itu butuh VPS atau bahkan dedicated server. Sebenarnya kita bisa memanfaatkan VirtualBox untuk membangun lab virtualisasi lokal."
|
description: "Memanfaatkan VirtualBox untuk membangun lab virtualisasi pada jaringan lokal."
|
||||||
|
summary: "Memanfaatkan VirtualBox untuk membangun lab virtualisasi pada jaringan lokal."
|
||||||
# linkTitle:
|
# linkTitle:
|
||||||
date: 2012-12-21T20:40:14+07:00
|
date: 2012-12-21T20:40:14+07:00
|
||||||
lastmod:
|
lastmod:
|
||||||
|
@ -8,10 +9,6 @@ draft: false
|
||||||
noindex: false
|
noindex: false
|
||||||
# comments: false
|
# comments: false
|
||||||
nav_weight: 1000
|
nav_weight: 1000
|
||||||
# nav_icon:
|
|
||||||
# vendor: bootstrap
|
|
||||||
# name: toggles
|
|
||||||
# color: '#e24d0e'
|
|
||||||
series:
|
series:
|
||||||
# - Tutorial
|
# - Tutorial
|
||||||
categories:
|
categories:
|
||||||
|
@ -21,36 +18,27 @@ tags:
|
||||||
- Linux
|
- Linux
|
||||||
- MySQL
|
- MySQL
|
||||||
images:
|
images:
|
||||||
# menu:
|
|
||||||
# main:
|
|
||||||
# weight: 100
|
|
||||||
# params:
|
|
||||||
# icon:
|
|
||||||
# vendor: bs
|
|
||||||
# name: book
|
|
||||||
# color: '#e24d0e'
|
|
||||||
authors:
|
authors:
|
||||||
- ditatompel
|
- ditatompel
|
||||||
---
|
---
|
||||||
|
|
||||||
Belakangan ada beberapa teman yang bertanya dan tertarik untuk belajar *build* server. Kebanyakan dari mereka berfikir bahwa untuk belajar build server / maintenance server itu butuh **VPS** atau bahkan *dedicated server*. Apa bener begitu? Padahal harga untuk **VPS** untuk ukuran sebagian mahasiswa dirasa cukup tinggi, apa lagi *dedicated server*.
|
Belakangan ada beberapa teman yang bertanya dan tertarik untuk belajar _build_ server. Kebanyakan dari mereka berfikir bahwa untuk belajar build server / maintenance server itu butuh **VPS** atau bahkan _dedicated server_. Apa bener begitu? Padahal harga untuk **VPS** untuk ukuran sebagian mahasiswa dirasa cukup tinggi, apa lagi _dedicated server_.
|
||||||
|
|
||||||
<!--more-->
|
Sebenarnya kalau kita hanya ingin belajar, tidak harus sewa **VPS**, awal2 kita bisa manfaatkan yang namanya _virtualisasi_. (namanya belajar jadi ga perlu kan _IP public_ yang bisa diakses siapa saja, makanya kita gunakan jaringan dan IP lokal).
|
||||||
|
|
||||||
Sebenarnya kalau kita hanya ingin belajar, tidak harus sewa **VPS**, awal2 kita bisa manfaatkan yang namanya *virtualisasi*. (namanya belajar jadi ga perlu kan *IP public* yang bisa diakses siapa saja, makanya kita gunakan jaringan dan IP lokal).
|
Ada banyak jalan untuk melakukan virtualisasi ini, ada **OpenVZ**, **VirtualBox**, **Xen**, **VMware**, dll. dari **para-virtualisasi** sampai **full-virtualisasi**, dari versi _community_ (gratis) sampai _enterprise_ (berbayar). Masing-masing ada kelebihan dan kekurangan (dan saya ga mau berdebat masalah ini).
|
||||||
|
|
||||||
Ada banyak jalan untuk melakukan virtualisasi ini, ada **OpenVZ**, **VirtualBox**, **Xen**, **VMware**, dll. dari **para-virtualisasi** sampai **full-virtualisasi**, dari versi *community* (gratis) sampai *enterprise* (berbayar). Masing-masing ada kelebihan dan kekurangan (dan saya ga mau berdebat masalah ini).
|
kali ini saya menggunakan **VirtualBox**, Karena sudah banyak user yang menggunakan **VirtualBox** pada komputer pribadinya. Sebelum melanjutkan, saya informasikan dulu situasi dan kondisi pada saat _guide_ ini dibuat.
|
||||||
|
|
||||||
kali ini saya menggunakan **VirtualBox**, Karena sudah banyak user yang menggunakan **VirtualBox** pada komputer pribadinya. Sebelum melanjutkan, saya informasikan dulu situasi dan kondisi pada saat *guide* ini dibuat.
|
|
||||||
|
|
||||||
- **Subnet**: `/24`
|
- **Subnet**: `/24`
|
||||||
- **Gateway** : `192.168.0.2`
|
- **Gateway** : `192.168.0.2`
|
||||||
- **Host OS** : IP=`192.168.0.242` OS=`Linux`
|
- **Host OS** : IP=`192.168.0.242` OS=`Linux`
|
||||||
|
|
||||||
Taruh kata saya ingin membuat **2 virtual server**, 1 untuk *database server* (**MySQL server**) dan 1 sever lainnya untuk apa juga belum terpikirkan. ;p
|
Taruh kata saya ingin membuat **2 virtual server**, 1 untuk _database server_ (**MySQL server**) dan 1 sever lainnya untuk apa juga belum terpikirkan. ;p
|
||||||
|
|
||||||
Jadi yang dibutuhkan :
|
Jadi yang dibutuhkan :
|
||||||
- **VirtualBox** dengan *module* `vboxnetfit`
|
|
||||||
|
- **VirtualBox** dengan _module_ `vboxnetfit`
|
||||||
- **ISO CentOS 6.x netinstall**
|
- **ISO CentOS 6.x netinstall**
|
||||||
- Koneksi Internet
|
- Koneksi Internet
|
||||||
|
|
||||||
|
@ -58,9 +46,11 @@ Video:
|
||||||
{{< youtube r5s8lBDNBXI >}}
|
{{< youtube r5s8lBDNBXI >}}
|
||||||
|
|
||||||
## Part 1: Setting Guest Hosts (virtual server)
|
## Part 1: Setting Guest Hosts (virtual server)
|
||||||
Pertama kita pastinya butuh **VirtualBox**. Silahkan yang belom punya download dulu. Kemudian module `vboxnetfit` untuk *bridged adapter* ke *virtual server*. Kemungkinan Anda juga butuh module `vboxdrv` (optional buat jalanin custom *kernel*) Aktifinnya tinggal `modprobe` [nama_module].
|
|
||||||
|
Pertama kita pastinya butuh **VirtualBox**. Silahkan yang belom punya download dulu. Kemudian module `vboxnetfit` untuk _bridged adapter_ ke _virtual server_. Kemungkinan Anda juga butuh module `vboxdrv` (optional buat jalanin custom _kernel_) Aktifinnya tinggal `modprobe` [nama_module].
|
||||||
|
|
||||||
Jika sudah mari kita jalankan VirtualBox dan buat virtual hostnya. Caranya klik Icon New di kiri atas, lalu masukan informasi nama dan OS yang digunakan. Misalnya:
|
Jika sudah mari kita jalankan VirtualBox dan buat virtual hostnya. Caranya klik Icon New di kiri atas, lalu masukan informasi nama dan OS yang digunakan. Misalnya:
|
||||||
|
|
||||||
- **Name** : CentOS Contoh Server III
|
- **Name** : CentOS Contoh Server III
|
||||||
- **Type** : Linux
|
- **Type** : Linux
|
||||||
- **Version** : RedHat (32/64 sesuai CPU Host)
|
- **Version** : RedHat (32/64 sesuai CPU Host)
|
||||||
|
@ -69,7 +59,7 @@ Kemudian tekan tombol Next.
|
||||||
|
|
||||||
![Add New VirtualBox Host](feature-virtual-lab-jar-lokal-01.png#center)
|
![Add New VirtualBox Host](feature-virtual-lab-jar-lokal-01.png#center)
|
||||||
|
|
||||||
berikutnya menentukan kapasitas **RAM** yang nantinya dipake sama *virtual server*, kasi aja **512MB**, klo udah tekan tombol next lagi.
|
berikutnya menentukan kapasitas **RAM** yang nantinya dipake sama _virtual server_, kasi aja **512MB**, klo udah tekan tombol next lagi.
|
||||||
|
|
||||||
![VirtualBox Set Guest RAM](virtual-lab-jar-lokal-02.png#center)
|
![VirtualBox Set Guest RAM](virtual-lab-jar-lokal-02.png#center)
|
||||||
|
|
||||||
|
@ -77,11 +67,11 @@ Selanjutnya buat virtual HDD, pilih opsi ke 2 **"Create a virtual hard drive now
|
||||||
|
|
||||||
![VirtualBox Set Guest Virtual HDD](virtual-lab-jar-lokal-03.png#center)
|
![VirtualBox Set Guest Virtual HDD](virtual-lab-jar-lokal-03.png#center)
|
||||||
|
|
||||||
Setelah itu keluar lagi pilihan buat tipe hard drivenya. Klo nantinya tidak ingin memindah ke virtualisasi lain pilih saja *default* **VDI**. Tp kali ini saya pilih **QEMU** biar **dikira** *dewa*. Klo udah tekan tombol **Create**.
|
Setelah itu keluar lagi pilihan buat tipe hard drivenya. Klo nantinya tidak ingin memindah ke virtualisasi lain pilih saja _default_ **VDI**. Tp kali ini saya pilih **QEMU** biar **dikira** _dewa_. Klo udah tekan tombol **Create**.
|
||||||
|
|
||||||
![VirtualBox Set Guest Virtual HDD Type](virtual-lab-jar-lokal-04.png#center)
|
![VirtualBox Set Guest Virtual HDD Type](virtual-lab-jar-lokal-04.png#center)
|
||||||
|
|
||||||
nanti di sebelah kiri ada *list Virtual Guest* yang pernah dibuat. Klik kanan pada menu yang baru aja kita buat dan pilih **"Setting"**.
|
nanti di sebelah kiri ada _list Virtual Guest_ yang pernah dibuat. Klik kanan pada menu yang baru aja kita buat dan pilih **"Setting"**.
|
||||||
|
|
||||||
Pada menu **Storage** => **Controller IDE** pilih image file yang digunakan. Ane pake **ISO CentOS 6.2 Netinstall 64 Bit**.
|
Pada menu **Storage** => **Controller IDE** pilih image file yang digunakan. Ane pake **ISO CentOS 6.2 Netinstall 64 Bit**.
|
||||||
|
|
||||||
|
@ -95,11 +85,11 @@ klo udah klik **Ok**, lalu Start **Virtual Guest**nya.
|
||||||
|
|
||||||
Nah proses installasi sama aja ky install OS biasa.
|
Nah proses installasi sama aja ky install OS biasa.
|
||||||
|
|
||||||
Media Installation OS ane pilih URL *biar dikira admin*.
|
Media Installation OS ane pilih URL _biar dikira admin_.
|
||||||
|
|
||||||
![Linux install method](virtual-lab-jar-lokal-07.png#center)
|
![Linux install method](virtual-lab-jar-lokal-07.png#center)
|
||||||
|
|
||||||
Yang perlu diperhatikan adalah : Gunakan Alamat *IP statik*/*DHCP Statik* dari *router*, jangan dinamis. Karena jika IP dinamis kita bakal susah ngeremote terutama masalah *fingerprint* SSH.
|
Yang perlu diperhatikan adalah : Gunakan Alamat _IP statik_/_DHCP Statik_ dari _router_, jangan dinamis. Karena jika IP dinamis kita bakal susah ngeremote terutama masalah _fingerprint_ SSH.
|
||||||
|
|
||||||
![Linux install IP setting](virtual-lab-jar-lokal-08.png#center)
|
![Linux install IP setting](virtual-lab-jar-lokal-08.png#center)
|
||||||
|
|
||||||
|
@ -127,7 +117,9 @@ Lalu jalankan perintah berikut untuk menjalankan virtual guest di background : `
|
||||||
```bash
|
```bash
|
||||||
VBoxManage startvm "CentOS Contoh Server III" --type=headless
|
VBoxManage startvm "CentOS Contoh Server III" --type=headless
|
||||||
```
|
```
|
||||||
|
|
||||||
Kalau udah jalan coba `ping` ke IP virtual guest yang tadi kita buat (`192.168.0.152`), tunggu sampai up dan masuk melalui **SSH**.
|
Kalau udah jalan coba `ping` ke IP virtual guest yang tadi kita buat (`192.168.0.152`), tunggu sampai up dan masuk melalui **SSH**.
|
||||||
|
|
||||||
```bash
|
```bash
|
||||||
ssh root@192.168.0.152
|
ssh root@192.168.0.152
|
||||||
```
|
```
|
||||||
|
@ -135,13 +127,17 @@ ssh root@192.168.0.152
|
||||||
Dari sana nte bisa setting nama hostname, update software, dll.
|
Dari sana nte bisa setting nama hostname, update software, dll.
|
||||||
|
|
||||||
## Part 2: Install Guest Host lain
|
## Part 2: Install Guest Host lain
|
||||||
Ulangi **Part 1** untuk membuat *Virtual Guest* lain sehingga kita punya 2 *virtual host* dan di-*run* bersamaan dengan *option headless* tadi. Beri virtual guest ke 2 ini dengan IP `192.168.0.151`. Sebagai contoh virtual guest ke 2 kali ini kita gunakan untuk database server.
|
|
||||||
|
Ulangi **Part 1** untuk membuat _Virtual Guest_ lain sehingga kita punya 2 _virtual host_ dan di-_run_ bersamaan dengan _option headless_ tadi. Beri virtual guest ke 2 ini dengan IP `192.168.0.151`. Sebagai contoh virtual guest ke 2 kali ini kita gunakan untuk database server.
|
||||||
|
|
||||||
Di Virtual Guest yang ke-2 ini, install MySQL Server :
|
Di Virtual Guest yang ke-2 ini, install MySQL Server :
|
||||||
|
|
||||||
```bash
|
```bash
|
||||||
yum install mysql mysql-devel mysql-server
|
yum install mysql mysql-devel mysql-server
|
||||||
```
|
```
|
||||||
|
|
||||||
Start mysql server
|
Start mysql server
|
||||||
|
|
||||||
```bash
|
```bash
|
||||||
service mysqld start
|
service mysqld start
|
||||||
```
|
```
|
||||||
|
@ -149,15 +145,19 @@ service mysqld start
|
||||||
settting ulang mysql servernya dengan menjalankan perintah `/usr/bin/mysql_secure_installation`. Maka bakal ada pertanyaan interaktif untuk menyetting ulang MySQL server.
|
settting ulang mysql servernya dengan menjalankan perintah `/usr/bin/mysql_secure_installation`. Maka bakal ada pertanyaan interaktif untuk menyetting ulang MySQL server.
|
||||||
|
|
||||||
kemudian masuk ke MySQL server dengan user `root` untuk membuat user dan database baru.
|
kemudian masuk ke MySQL server dengan user `root` untuk membuat user dan database baru.
|
||||||
|
|
||||||
```bash
|
```bash
|
||||||
mysql -h localhost -u root -p
|
mysql -h localhost -u root -p
|
||||||
```
|
```
|
||||||
|
|
||||||
maka nte bakal disuruh isi password mysqlnya untuk user root. Setelah masuk buat user baru:
|
maka nte bakal disuruh isi password mysqlnya untuk user root. Setelah masuk buat user baru:
|
||||||
|
|
||||||
```bash
|
```bash
|
||||||
CREATE USER 'ditatompel'@'192.168.0.%' IDENTIFIED BY 'password';
|
CREATE USER 'ditatompel'@'192.168.0.%' IDENTIFIED BY 'password';
|
||||||
```
|
```
|
||||||
|
|
||||||
dimana:
|
dimana:
|
||||||
|
|
||||||
- `ditatompel` adalah **nama user**nya
|
- `ditatompel` adalah **nama user**nya
|
||||||
- `192.168.0.%` adalah nama hostname/IP dari mana dia melakukan remote koneksi ke MySQL server. (`192.168.0.%` sama saja dengan `192.168.0.0/24`)
|
- `192.168.0.%` adalah nama hostname/IP dari mana dia melakukan remote koneksi ke MySQL server. (`192.168.0.%` sama saja dengan `192.168.0.0/24`)
|
||||||
- `password` adalah password yang digunakan.
|
- `password` adalah password yang digunakan.
|
||||||
|
@ -165,6 +165,7 @@ dimana:
|
||||||
```sql
|
```sql
|
||||||
CREATE DATABASE IF NOT EXISTS db_testing;
|
CREATE DATABASE IF NOT EXISTS db_testing;
|
||||||
```
|
```
|
||||||
|
|
||||||
dimana `db_testing` adalah nama database yang nanti kita gunakan.
|
dimana `db_testing` adalah nama database yang nanti kita gunakan.
|
||||||
|
|
||||||
```sql
|
```sql
|
||||||
|
@ -176,7 +177,8 @@ dimana `SELECT`, `INSERT`, `UPDATE`, `DELETE` adalah permission milik user `dita
|
||||||
```sql
|
```sql
|
||||||
FLUSH PRIVILEGES;
|
FLUSH PRIVILEGES;
|
||||||
```
|
```
|
||||||
Kalau sudah pastikan juga port **MySQL** (*default* `3306`) tidak di block oleh *firewall*.
|
|
||||||
|
Kalau sudah pastikan juga port **MySQL** (_default_ `3306`) tidak di block oleh _firewall_.
|
||||||
|
|
||||||
![iptables](virtual-lab-jar-lokal-12.png#center)
|
![iptables](virtual-lab-jar-lokal-12.png#center)
|
||||||
|
|
||||||
|
@ -185,13 +187,13 @@ Setelah itu coba melakukan koneksi ke server MySQL dari virtual guest yang 1 nya
|
||||||
```bash
|
```bash
|
||||||
mysql -h 192.168.0.151 -u ditatompel -p
|
mysql -h 192.168.0.151 -u ditatompel -p
|
||||||
```
|
```
|
||||||
|
|
||||||
dimana `192.168.0.151` adalah alamat IP server MySQL dan `ditatompel` adalah user yang kita buat pada server MySQL sebelumnya.
|
dimana `192.168.0.151` adalah alamat IP server MySQL dan `ditatompel` adalah user yang kita buat pada server MySQL sebelumnya.
|
||||||
|
|
||||||
![iptables](virtual-lab-jar-lokal-13.png#center)
|
![iptables](virtual-lab-jar-lokal-13.png#center)
|
||||||
|
|
||||||
|
|
||||||
> _**Q** : Om, klo mau bikin 5 virtual guest dan RAM laptop / PC ane cuma 1GB kan ga mungkin, trus gimana ?_
|
> _**Q** : Om, klo mau bikin 5 virtual guest dan RAM laptop / PC ane cuma 1GB kan ga mungkin, trus gimana ?_
|
||||||
|
|
||||||
**A** : Nte pake / bawa pulang laptop temen, colokin ke 1 network dan jalanin virtualbox, lakuin langkah2 di atas. Klo nte ada 4 laptop dan per laptop nte jalanin 3 Virtual guest berarti nte punya 12 virtual guest.
|
**A** : Nte pake / bawa pulang laptop temen, colokin ke 1 network dan jalanin virtualbox, lakuin langkah2 di atas. Klo nte ada 4 laptop dan per laptop nte jalanin 3 Virtual guest berarti nte punya 12 virtual guest.
|
||||||
|
|
||||||
Jadi intinya begitu semua sudah terhubung dan dapat berkomunikasi, beres udah. Nte bisa juga testing buat belajar *port knocking*, config *firewall*, **IDS/IPS**, *load balancing* sampai *clustering*. meskipun hasilnya masih sangat jauh dari maksimal.
|
Jadi intinya begitu semua sudah terhubung dan dapat berkomunikasi, beres udah. Nte bisa juga testing buat belajar _port knocking_, config _firewall_, **IDS/IPS**, _load balancing_ sampai _clustering_. meskipun hasilnya masih sangat jauh dari maksimal.
|
||||||
|
|
|
@ -1,6 +1,7 @@
|
||||||
---
|
---
|
||||||
title: "SSH Client - Server (Security & Simplicity)"
|
title: "SSH Client - Server (Security & Simplicity)"
|
||||||
description: Berbagi trik untuk sedikit lebih memperketat akses SSH dengan men-disable root akses SSH, mengubah port default dan menggunakan public dan private key.
|
description: Berbagi trik untuk sedikit lebih memperketat akses SSH dengan men-disable root akses SSH, mengubah port default dan menggunakan public dan private key.
|
||||||
|
summary: Berbagi trik untuk sedikit lebih memperketat akses SSH dengan men-disable root akses SSH, mengubah port default dan menggunakan public dan private key.
|
||||||
# linkTitle:
|
# linkTitle:
|
||||||
date: 2012-05-17T17:09:21+07:00
|
date: 2012-05-17T17:09:21+07:00
|
||||||
lastmod:
|
lastmod:
|
||||||
|
@ -8,10 +9,6 @@ draft: false
|
||||||
noindex: false
|
noindex: false
|
||||||
# comments: false
|
# comments: false
|
||||||
nav_weight: 1000
|
nav_weight: 1000
|
||||||
# nav_icon:
|
|
||||||
# vendor: bootstrap
|
|
||||||
# name: toggles
|
|
||||||
# color: '#e24d0e'
|
|
||||||
series:
|
series:
|
||||||
# - Tutorial
|
# - Tutorial
|
||||||
categories:
|
categories:
|
||||||
|
@ -21,60 +18,60 @@ tags:
|
||||||
- Linux
|
- Linux
|
||||||
- SSH
|
- SSH
|
||||||
images:
|
images:
|
||||||
# menu:
|
|
||||||
# main:
|
|
||||||
# weight: 100
|
|
||||||
# params:
|
|
||||||
# icon:
|
|
||||||
# vendor: bs
|
|
||||||
# name: book
|
|
||||||
# color: '#e24d0e'
|
|
||||||
authors:
|
authors:
|
||||||
- ditatompel
|
- ditatompel
|
||||||
---
|
---
|
||||||
|
|
||||||
Bagi para **System Administrator**, sebagai pengganti **Telnet** penggunaan **SSH** pasti sudah merupakan makanan sehari-hari yang banyak digunakan untuk mengakses sistem berbasis **Linux/Unix**. Meskipun password yang dikirim ke server sudah dienkripsi dan tidak berbentuk *plaintext* lagi, installasi [OpenSSH](https://www.openssh.com/) secara default dirasa kurang aman.
|
Bagi para **System Administrator**, sebagai pengganti **Telnet** penggunaan **SSH** pasti sudah merupakan makanan sehari-hari yang banyak digunakan untuk mengakses sistem berbasis **Linux/Unix**. Meskipun password yang dikirim ke server sudah dienkripsi dan tidak berbentuk _plaintext_ lagi, installasi [OpenSSH](https://www.openssh.com/) secara default dirasa kurang aman.
|
||||||
|
|
||||||
<!--more-->
|
Kali ini saya ingin berbagi trik yang sebenarnya sudah umum, untuk sedikit lebih memperketat akses SSH. Yaitu men-_disable_ akses SSH untuk _user_ `root`, menggunakan **public dan private key**, sampai mengubah _port default_. Selain itu saya juga ingin sedikit berbagi trik agar proses memanage server(s) menjadi lebih mudah dan simple.
|
||||||
|
|
||||||
Kali ini saya ingin berbagi trik yang sebenarnya sudah umum, untuk sedikit lebih memperketat akses SSH. Yaitu men-*disable* akses SSH untuk *user* `root`, menggunakan **public dan private key**, sampai mengubah *port default*. Selain itu saya juga ingin sedikit berbagi trik agar proses memanage server(s) menjadi lebih mudah dan simple.
|
|
||||||
|
|
||||||
Pada diskusi kali ini dibutuhkan (atau saya menggunakan) :
|
Pada diskusi kali ini dibutuhkan (atau saya menggunakan) :
|
||||||
* Client PC : **Linux** dengan *desktop environment* **KDE** `4.8`.
|
|
||||||
* Server SSH (Remote PC) : Linux dengan IP `202.150.169.245`.
|
- Client PC : **Linux** dengan _desktop environment_ **KDE** `4.8`.
|
||||||
* Mengerti sedikit dasar Linux CLI seperti `chmod`, `ssh`, `groupadd`, `useradd`.
|
- Server SSH (Remote PC) : Linux dengan IP `202.150.169.245`.
|
||||||
* Mampu menggunakan text editor seperti `vi`/`vim`/`nano`/`pico`, dll.
|
- Mengerti sedikit dasar Linux CLI seperti `chmod`, `ssh`, `groupadd`, `useradd`.
|
||||||
* dan setumpuk kesabaran yang ditumis dengan rasa keingintahuan (yang ini lupakan).
|
- Mampu menggunakan text editor seperti `vi`/`vim`/`nano`/`pico`, dll.
|
||||||
|
- dan setumpuk kesabaran yang ditumis dengan rasa keingintahuan (yang ini lupakan).
|
||||||
|
|
||||||
## Disable Akses root Melalui SSH
|
## Disable Akses root Melalui SSH
|
||||||
`Root` *user* adalah user yang pasti ada pada sistem Unix/Unix-Like, jika kita tidak mendisable user tersebut, maka akan mempermudah pentester melakukan serangan bruteforce.
|
|
||||||
|
|
||||||
Sebelum mendisable akses `root`, tentu saja kita perlu membuat 1 user baru yang mempunyai hak untuk menggunakan *service* SSH dan masuk ke dalam list `sudoers`.
|
`Root` _user_ adalah user yang pasti ada pada sistem Unix/Unix-Like, jika kita tidak mendisable user tersebut, maka akan mempermudah pentester melakukan serangan bruteforce.
|
||||||
|
|
||||||
|
Sebelum mendisable akses `root`, tentu saja kita perlu membuat 1 user baru yang mempunyai hak untuk menggunakan _service_ SSH dan masuk ke dalam list `sudoers`.
|
||||||
|
|
||||||
|
1. Akses ssh server menggunakan _user_ `root` terlebih dahulu.
|
||||||
|
|
||||||
1. Akses ssh server menggunakan *user* `root` terlebih dahulu.
|
|
||||||
```bash
|
```bash
|
||||||
ssh root@202.150.169.245
|
ssh root@202.150.169.245
|
||||||
```
|
```
|
||||||
2. setelah masuk server SSH, buat user dan *group* baru. (Silahkan lihat `man useradd` untuk lebih jelas)
|
|
||||||
|
2. setelah masuk server SSH, buat user dan _group_ baru. (Silahkan lihat `man useradd` untuk lebih jelas)
|
||||||
|
|
||||||
```bash
|
```bash
|
||||||
groupadd ditatompel
|
groupadd ditatompel
|
||||||
useradd -s /bin/bash -d /home/ditatompel -g ditatompel -G root -m ditatompel
|
useradd -s /bin/bash -d /home/ditatompel -g ditatompel -G root -m ditatompel
|
||||||
```
|
```
|
||||||
|
|
||||||
3. Set password user tersebut dengan perintah `passwd ditatompel`.
|
3. Set password user tersebut dengan perintah `passwd ditatompel`.
|
||||||
|
|
||||||
![Create User](create-user.png#center)
|
![Create User](create-user.png#center)
|
||||||
|
|
||||||
4. Lalu tambahkan user `ditatompel` ke list `sudoers`. Edit file `/etc/sudoers` dan tambahkan permission untuk user baru tersebut:
|
4. Lalu tambahkan user `ditatompel` ke list `sudoers`. Edit file `/etc/sudoers` dan tambahkan permission untuk user baru tersebut:
|
||||||
|
|
||||||
```plain
|
```plain
|
||||||
ditatompel ALL=(ALL) ALL
|
ditatompel ALL=(ALL) ALL
|
||||||
```
|
```
|
||||||
|
|
||||||
5. Kemudian edit file `/etc/ssh/sshd_config` dan tambah / edit konfigurasi berikut :
|
5. Kemudian edit file `/etc/ssh/sshd_config` dan tambah / edit konfigurasi berikut :
|
||||||
|
|
||||||
```plain
|
```plain
|
||||||
PermitRootLogin no
|
PermitRootLogin no
|
||||||
AllowUsers ditatompel
|
AllowUsers ditatompel
|
||||||
```
|
```
|
||||||
6. Restart SSH *daemon*
|
|
||||||
|
6. Restart SSH _daemon_
|
||||||
|
|
||||||
```bash
|
```bash
|
||||||
service sshd restart #(Untuk CentOS dkk)
|
service sshd restart #(Untuk CentOS dkk)
|
||||||
/etc/init.d/ssh restart #(untuk Debian)
|
/etc/init.d/ssh restart #(untuk Debian)
|
||||||
|
@ -84,31 +81,35 @@ service sshd restart #(Untuk CentOS dkk)
|
||||||
> _**Note** : Setelah restart, pastikan akses SSH yang sedang berjalan / terkoneksi tidak putus / di close supaya kita masih memiliki akses dan dapat mengedit konfigurasi jika terjadi kesalahan._
|
> _**Note** : Setelah restart, pastikan akses SSH yang sedang berjalan / terkoneksi tidak putus / di close supaya kita masih memiliki akses dan dapat mengedit konfigurasi jika terjadi kesalahan._
|
||||||
|
|
||||||
7. Coba akses SSH server menggunakan user yang tadi baru saja kita buat, yaitu `ditatompel`.
|
7. Coba akses SSH server menggunakan user yang tadi baru saja kita buat, yaitu `ditatompel`.
|
||||||
|
|
||||||
```bash
|
```bash
|
||||||
ssh ditatompel@202.150.169.245
|
ssh ditatompel@202.150.169.245
|
||||||
```
|
```
|
||||||
|
|
||||||
## Ubah Port Default SSH (Optional)
|
## Ubah Port Default SSH (Optional)
|
||||||
Mengubah port default SSH (`22`) dapat menghindari *bruteforcer ababail* yg cuma ambil script dari internet karena kebanyakan script *bruteforce* SSH defaultnya melakukan brute ke port `22`.
|
|
||||||
|
Mengubah port default SSH (`22`) dapat menghindari _bruteforcer ababail_ yg cuma ambil script dari internet karena kebanyakan script _bruteforce_ SSH defaultnya melakukan brute ke port `22`.
|
||||||
|
|
||||||
**NOTE** : Jika firewall server aktif, kita perlu membuka akses ke port yang baru, misalnya jika kita menggunakan `iptables`:
|
**NOTE** : Jika firewall server aktif, kita perlu membuka akses ke port yang baru, misalnya jika kita menggunakan `iptables`:
|
||||||
|
|
||||||
```bash
|
```bash
|
||||||
iptables -A INPUT -p tcp --dport 1337 -j ACCEPT
|
iptables -A INPUT -p tcp --dport 1337 -j ACCEPT
|
||||||
iptables save
|
iptables save
|
||||||
service iptables restart
|
service iptables restart
|
||||||
```
|
```
|
||||||
|
|
||||||
* Ingat, jangan menutup koneksi SSH awal yang sudah terhubung untuk menghindari hal2 yang tidak diinginkan.
|
- Ingat, jangan menutup koneksi SSH awal yang sudah terhubung untuk menghindari hal2 yang tidak diinginkan.
|
||||||
|
|
||||||
|
|
||||||
Kemudian, untuk mengubah port, edit file `/etc/ssh/sshd_config` dan tambah / edit konfigurasi berikut :
|
Kemudian, untuk mengubah port, edit file `/etc/ssh/sshd_config` dan tambah / edit konfigurasi berikut :
|
||||||
|
|
||||||
```plain
|
```plain
|
||||||
Port 1337
|
Port 1337
|
||||||
```
|
```
|
||||||
|
|
||||||
kemudian restart SSH daemon.
|
kemudian restart SSH daemon.
|
||||||
|
|
||||||
Seperti yang kita lihat, SSH daemon melakukan listen di port `1337`. Untuk memastikannya bisa menggunakan perintah `netstat`.
|
Seperti yang kita lihat, SSH daemon melakukan listen di port `1337`. Untuk memastikannya bisa menggunakan perintah `netstat`.
|
||||||
|
|
||||||
```bash
|
```bash
|
||||||
netstat -plnt
|
netstat -plnt
|
||||||
```
|
```
|
||||||
|
@ -116,15 +117,19 @@ netstat -plnt
|
||||||
Terakhir, selalu test lagi apakah server kita bisa diakses.
|
Terakhir, selalu test lagi apakah server kita bisa diakses.
|
||||||
|
|
||||||
## Gunakan Public dan Private Key
|
## Gunakan Public dan Private Key
|
||||||
1. Buat dulu *keypair* untuk SSH client dan SSH server dengan menggunakan `ssh-keygen`.
|
|
||||||
|
1. Buat dulu _keypair_ untuk SSH client dan SSH server dengan menggunakan `ssh-keygen`.
|
||||||
|
|
||||||
```bash
|
```bash
|
||||||
ssh-keygen -b 4048 -f serverLama-169-245 -t rsa -C "ditatompel@serverLama-169-245"
|
ssh-keygen -b 4048 -f serverLama-169-245 -t rsa -C "ditatompel@serverLama-169-245"
|
||||||
```
|
```
|
||||||
|
|
||||||
Maka ia akan membuat file bernama `serverLama-169-245` dan `serverLama-169-245.pub` dimana :
|
Maka ia akan membuat file bernama `serverLama-169-245` dan `serverLama-169-245.pub` dimana :
|
||||||
|
|
||||||
`serverLama-169-245` adalah **private key** kita, dan `serverLama-169-245.pub` adalah **public key** yang nantinya diletakan letakkan di server kita.
|
`serverLama-169-245` adalah **private key** kita, dan `serverLama-169-245.pub` adalah **public key** yang nantinya diletakan letakkan di server kita.
|
||||||
|
|
||||||
2. Pindahkan ke 2 file tersebut ke folder `~/.ssh` dan ubah file permissionnya menjadi `600`.
|
2. Pindahkan ke 2 file tersebut ke folder `~/.ssh` dan ubah file permissionnya menjadi `600`.
|
||||||
|
|
||||||
```bash
|
```bash
|
||||||
mv serverLama-169-245 serverLama-169-245.pub ~/.ssh/
|
mv serverLama-169-245 serverLama-169-245.pub ~/.ssh/
|
||||||
find ~/.ssh/ -type f -exec chmod 600 {} +
|
find ~/.ssh/ -type f -exec chmod 600 {} +
|
||||||
|
@ -132,12 +137,13 @@ find ~/.ssh/ -type f -exec chmod 600 {} +
|
||||||
|
|
||||||
![SSH-keygen](sshkeygen.jpg#center)
|
![SSH-keygen](sshkeygen.jpg#center)
|
||||||
|
|
||||||
3. Pada komputer server dengan user yang baru kita buat tadi (`ditatompel`) buat *hidden folder* `.ssh` pada *home dir*nya dan ubah folder permissionnya menjadi `700`.
|
3. Pada komputer server dengan user yang baru kita buat tadi (`ditatompel`) buat _hidden folder_ `.ssh` pada *home dir*nya dan ubah folder permissionnya menjadi `700`.
|
||||||
|
|
||||||
```bash
|
```bash
|
||||||
mkdir ~/.ssh; chmod 700 ~/.ssh
|
mkdir ~/.ssh; chmod 700 ~/.ssh
|
||||||
```
|
```
|
||||||
|
|
||||||
4. Copy **public key** yang tadi kita buat ke folder `~/.ssh` pada remote PC (*SSH Server*) dengan nama `authorized_keys` dan file permission `600`
|
4. Copy **public key** yang tadi kita buat ke folder `~/.ssh` pada remote PC (_SSH Server_) dengan nama `authorized_keys` dan file permission `600`
|
||||||
|
|
||||||
(untuk meng*copy file* tersebut bisa menggunakan `sftp` / `scp`) : Contoh :
|
(untuk meng*copy file* tersebut bisa menggunakan `sftp` / `scp`) : Contoh :
|
||||||
|
|
||||||
|
@ -158,7 +164,9 @@ sftp> chmod 600 /home/ditatompel/.ssh/authorized_keys
|
||||||
```plain
|
```plain
|
||||||
PasswordAuthentication no
|
PasswordAuthentication no
|
||||||
```
|
```
|
||||||
6. Restart SSH *daemon* dan coba lagi akses SSH server dengan menggunakan command :
|
|
||||||
|
6. Restart SSH _daemon_ dan coba lagi akses SSH server dengan menggunakan command :
|
||||||
|
|
||||||
```bash
|
```bash
|
||||||
ssh -i ~/.ssh/serverLama-169-245 -p 1337 ditatompel@202.150.169.245
|
ssh -i ~/.ssh/serverLama-169-245 -p 1337 ditatompel@202.150.169.245
|
||||||
```
|
```
|
||||||
|
@ -166,13 +174,15 @@ ssh -i ~/.ssh/serverLama-169-245 -p 1337 ditatompel@202.150.169.245
|
||||||
![SSH pass](ssh-pass.png#center)
|
![SSH pass](ssh-pass.png#center)
|
||||||
|
|
||||||
## Memanage Server Menggunakan FISH Protocol
|
## Memanage Server Menggunakan FISH Protocol
|
||||||
|
|
||||||
Ni bagian yang saya suka dan yang sebenernya pingin saya share, mungkin aja ada beberapa yang belum tau.
|
Ni bagian yang saya suka dan yang sebenernya pingin saya share, mungkin aja ada beberapa yang belum tau.
|
||||||
|
|
||||||
**FISH** (*Files transferred over Shell protocol*) adalah sebuah protokol jaringan yang menggunakan **Secure Shell (SSH)** atau **Remote Shell (RSH)** untuk mentransfer file antara komputer kita dan komputer server semudah membuka2 folder / mengedit file di komputer kita. Saya menggunakan **Dolphin** yang sudah menjadi bawaan **KDE**. Selain Dolphin, KDE user juga bisa menggunakan `Konqueror` untuk menggunakan protokol FISH. (Untuk **Gnome** - **Nautilus** saya kurang tahu, mungkin yang lain bisa menambahkan dimari)
|
**FISH** (_Files transferred over Shell protocol_) adalah sebuah protokol jaringan yang menggunakan **Secure Shell (SSH)** atau **Remote Shell (RSH)** untuk mentransfer file antara komputer kita dan komputer server semudah membuka2 folder / mengedit file di komputer kita. Saya menggunakan **Dolphin** yang sudah menjadi bawaan **KDE**. Selain Dolphin, KDE user juga bisa menggunakan `Konqueror` untuk menggunakan protokol FISH. (Untuk **Gnome** - **Nautilus** saya kurang tahu, mungkin yang lain bisa menambahkan dimari)
|
||||||
|
|
||||||
Caranya tinggal klik pada *breadcrumb* navigasi folder dan ketikan `{protokol}{user}@{server}:{port}/{folder}` kemudian tekan enter.
|
Caranya tinggal klik pada _breadcrumb_ navigasi folder dan ketikan `{protokol}{user}@{server}:{port}/{folder}` kemudian tekan enter.
|
||||||
|
|
||||||
misalnya :
|
misalnya :
|
||||||
|
|
||||||
```plain
|
```plain
|
||||||
fish://ditatompel@202.150.169.245:1337/var/www/path/to/folder/you/want/to/access/
|
fish://ditatompel@202.150.169.245:1337/var/www/path/to/folder/you/want/to/access/
|
||||||
```
|
```
|
||||||
|
@ -180,7 +190,8 @@ fish://ditatompel@202.150.169.245:1337/var/www/path/to/folder/you/want/to/access
|
||||||
![Fish protocol](fish.png#center)
|
![Fish protocol](fish.png#center)
|
||||||
setelah itu kita akan dipromot untuk memasukan password SSH kita. Tapi ada permasalahan yang dihadapi, protokol FISH pada Dolphin / Konqueror tidak secara langsung tahu jika kita menggunakan public dan private key untuk mengakses server.
|
setelah itu kita akan dipromot untuk memasukan password SSH kita. Tapi ada permasalahan yang dihadapi, protokol FISH pada Dolphin / Konqueror tidak secara langsung tahu jika kita menggunakan public dan private key untuk mengakses server.
|
||||||
|
|
||||||
Maka dari itu kita dapat memanfaatkan fitur **ssh config** (lokasinya ada di `~/.ssh/config` untuk konfigurasi per user, atau `/etc/ssh/sshd_config` untuk *system wide*). Untuk konfigurasi tiap user, biasanya belum terdapat file `~/.ssh/config`, maka dari itu kita perlu buat dulu file tersebut dengan menambahkan konfigurasi `IdentityFile` supaya program yang kita gunakan tau bahwa kita harus menggunakan **private key** SSH kita :
|
Maka dari itu kita dapat memanfaatkan fitur **ssh config** (lokasinya ada di `~/.ssh/config` untuk konfigurasi per user, atau `/etc/ssh/sshd_config` untuk _system wide_). Untuk konfigurasi tiap user, biasanya belum terdapat file `~/.ssh/config`, maka dari itu kita perlu buat dulu file tersebut dengan menambahkan konfigurasi `IdentityFile` supaya program yang kita gunakan tau bahwa kita harus menggunakan **private key** SSH kita :
|
||||||
|
|
||||||
```plain
|
```plain
|
||||||
IdentityFile /home/dit/.ssh/serverlama-169-245
|
IdentityFile /home/dit/.ssh/serverlama-169-245
|
||||||
```
|
```
|
||||||
|
@ -188,9 +199,11 @@ IdentityFile /home/dit/.ssh/serverlama-169-245
|
||||||
Lalu bagaimana jika kita memiliki banyak server dan banyak **private key** untuk masing2 server? Yuk mari kita baca lanjutannya.
|
Lalu bagaimana jika kita memiliki banyak server dan banyak **private key** untuk masing2 server? Yuk mari kita baca lanjutannya.
|
||||||
|
|
||||||
## Trik Konfigurasi ~/.ssh/config
|
## Trik Konfigurasi ~/.ssh/config
|
||||||
|
|
||||||
Untuk para system administrator yang ngurusin banyak server yang mengharuskan tiap server memiliki akses login yang berbeda,pasti bakal susah mengingat port, password, user, dll. Belum lagi untuk inget akses aplikasi yang ada pada server2 tersebut. Maka dari itu kita bisa manfaatin fitur ssh config yang memungkinkan kita mengakses shell hanya dengan mengingat IP server dan passpharsenya saja.
|
Untuk para system administrator yang ngurusin banyak server yang mengharuskan tiap server memiliki akses login yang berbeda,pasti bakal susah mengingat port, password, user, dll. Belum lagi untuk inget akses aplikasi yang ada pada server2 tersebut. Maka dari itu kita bisa manfaatin fitur ssh config yang memungkinkan kita mengakses shell hanya dengan mengingat IP server dan passpharsenya saja.
|
||||||
|
|
||||||
Berikut ini contoh konfigurasi SSH untuk identitas multi server :
|
Berikut ini contoh konfigurasi SSH untuk identitas multi server :
|
||||||
|
|
||||||
```plain
|
```plain
|
||||||
Host 202.150.169.245
|
Host 202.150.169.245
|
||||||
Hostname 202.150.169.245
|
Hostname 202.150.169.245
|
||||||
|
@ -220,12 +233,15 @@ Dengan begitu kita dapat menggunakan command SSH hanya dengan :
|
||||||
```bash
|
```bash
|
||||||
ssh 202.150.169.245
|
ssh 202.150.169.245
|
||||||
```
|
```
|
||||||
atau dengan menambahkannya ke folder *network* dengan mengakses **Network** > **Add Network Folder** kemudian isi informasi remote PC (SSH server) yang dibutuhkan.
|
|
||||||
|
atau dengan menambahkannya ke folder _network_ dengan mengakses **Network** > **Add Network Folder** kemudian isi informasi remote PC (SSH server) yang dibutuhkan.
|
||||||
|
|
||||||
![Fish Protocol](fish-protocol1.png#center)
|
![Fish Protocol](fish-protocol1.png#center)
|
||||||
|
|
||||||
Mungkin sekian dulu dari saya, silahkan bagi teman2 yang ingin menambahkan / mengkoreksi, saya akan sangat menghargai.
|
Mungkin sekian dulu dari saya, silahkan bagi teman2 yang ingin menambahkan / mengkoreksi, saya akan sangat menghargai.
|
||||||
|
|
||||||
Referensi:
|
Referensi:
|
||||||
* [http://linux.die.net/man/5/ssh_config](http://linux.die.net/man/5/ssh_config).
|
|
||||||
* [http://kb.mediatemple.net/questions/1625/Using+an+SSH+Config+File](http://kb.mediatemple.net/questions/1625/Using+an+SSH+Config+File).
|
- [http://linux.die.net/man/5/ssh_config](http://linux.die.net/man/5/ssh_config).
|
||||||
|
- [http://kb.mediatemple.net/questions/1625/Using+an+SSH+Config+File](http://kb.mediatemple.net/questions/1625/Using+an+SSH+Config+File).
|
||||||
|
|
||||||
|
|
Loading…
Reference in a new issue